美國防工業網絡安全能力的全面提升

2020年1月31日，美國國防部發布了《網絡安全成熟度模型認證1.0版》（Cybersecurity Maturity Model Certification，CMMC）文件及其概要介紹和附件，CMMC是由國防部開發的認證框架，用于衡量國防承包商維護執行國防部合同時處理的聯邦合同信息（“FCI”）和受控非機密信息（“CUI”）的能力。這是美國防部為防務承包商確定的首套網絡安全標準。隨后，在2月24-28日召開的全球信息安全行業年度盛會RSA會議上，美軍方代表公開表示：CMMC對美國國家國防工業基地（DIB）網絡安全影響深遠，對美國網絡安全發展至關重要；3月下旬，美國傳統基金會發表特別報告，報告站在使美國能夠更好應對大國競爭的角度，重點就提高美軍網絡空間作戰能力提出四條建議，其中第一條建議就包括實施網絡安全成熟度模型認證。

《網絡安全成熟度模型認證》的提出和貫徹，意味著美軍在武器系統和國防工業網絡防護要求方面已率先形成規范，將有力推動網絡防護能力全面提升。未來，CMMC很有可能成為全球企業信息安全認證的下一個“黃金標準”。

一、美軍推行CMMC計劃的背景及進程

1.出臺背景

CMMC計劃出臺的背景主要是基于美軍近年來對美國DIB網絡面臨的安全風險分析：美國國防部每天要遭受4000萬次互聯網攻擊，而國防部認定其供應鏈為網絡安全風險的主要領域之一，該供應鏈由DIB內30多萬家承包商構成。特別是，在這些承包商中，小型企業越來越受到民族國家的數字化攻擊，必須做更多的工作來評估和加強與網絡攻擊作斗爭的承包商的安全性。

在當今大國競爭的環境中，信息和技術都是國家安全的基石，而攻擊次級供應商遠比直接攻擊主要供應商更具吸引力。為了確保國防部供應鏈的安全，嚴格審查和認證這30多萬家承包商的網絡安全行為，美國國防部推出了CMMC計劃。CMMC計劃的出臺標志著，美國國防部開始將強制性網絡安全要求擴大到包含中小企業在內的國防工業，未來不滿足相應等級要求的企業將無法競爭美國國防部合同。

2.推進過程

* 2019年3月，國防部首次宣布將開發CMMC；

* 2019年5月底，美國國防部宣布與卡內基梅隆大學和約翰霍普金斯大學應用物理實驗室有限責任公司合作開發CMMC框架；

* 2020 年1月31日，國防部發布CMMC 1.0版；

* 2020年6月，國防部將發布首批包含基于該模型的網絡安全成熟度等級要求的信息征詢書（RFI），全年發布10份；

* 2020年9月，國防部將發布首批包含該要求的方案征詢書（RFP），全年發布10份；

* 到2021年底，預計將有1,500家公司獲得認證；

* 到2026財年，所有的美國防部合同都將包含網絡安全成熟度認證等級要求。

二、美軍CMMC標準的主要內容

CMMC是一套網絡安全指南，也可以看作是一個分層網絡安全框架，是美國國防部用來對NIST 800-171合規范圍內企業進行第三方獨立審計的一套方法。它根據防務承包商參與工作的分類和項目敏感性的安全級別，具有跨多個成熟度級別（從基本網絡衛生到高級措施）的相關控制和過程，能夠保護企業和網絡系統免遭最高級黑客攻擊。

1.1.0版模型概述

CMMC框架對國防部供應鏈中的網絡安全將基于五個認證等級的確定，每個級別都由承包商必須證明以達到該級別認證的實踐和流程組成。這五個等級是：

1級：基本網絡衛生；

2級：中級網絡衛生；

3級：良好的網絡衛生；

4級：積極主動；

5級：進階/漸進。

以上五個CMMC級別與以下目標相關：保護CUI并降低高級持續威脅（APT）的風險。

級別1：保護聯邦合同信息（FCI）；

級別2：充當網絡安全成熟度發展的過渡步驟，以保護受控的非機密信息（CUI）；

級別3：保護CUI；4–5級：

4–5級：保護CUI并降低高級持續威脅（APT）的風險。其中：

1級要求最低：CMMC框架大約確定了17個網絡安全特定“領域”，1級合規性僅要求在各個領域制定一項基本的“控制”措施。

2級是過渡階段：五角大樓通過建立新的流程、規劃和預算幫助各企業為更高的認證級別做好準備。其目標仍以“幫助小企業”為主。

3級跨度最大：是處理受控非機密信息的最低要求，企業的控制措施必須從前兩級要求的17項增加到110多項。這些標準出自美國國家標準技術研究院的NIST 800-171修訂版文件，也是目前許多企業聲稱已經達到的標準。

4級和5級針對承包最敏感合同的“極核心技術企業”，增加了額外的控制措施。這些標準將來自美國國家標準技術研究院、國際標準組織（ISO）、航空航天工業協會（AIA）等機構已經發布或正在制定的標準。

CMMC模型的1.0版包含17個域（網絡安全合規性的高級類別），其中包含43種功能（確保在每個域內都實現網絡安全目標的成就）。這些功能依次包括五個成熟度級別的171個實踐。1.0版還包含五個過程，這些過程涉及組織的實踐制度化。國防部針對版本1.0的簡介文件顯示了這些域，功能，實踐和流程如何在CMMC模型中結合在一起。

2.1.0版的新功能

1.0版的大小和內容與先前的0.7版非常相似。但是，版本1.0確實包含了先前草案的一些重要更新：

（1）流程成熟度

CMMC版本1.0不包括在先前的草案中提到的預期的特定域的過程。CMMC框架基于承包商的實踐（技術活動）和過程（使這些實踐制度化的過程）為承包商分配評級。與版本0.7中的九個進程相比，版本1.0僅包含五個進程（第2級中有兩個進程，第3-5級中每個都有一個進程）。此外，該模型的版本1.0并未詳細描述如何修改每個流程以適用于每個單獨的域，如版本0.7所建議的那樣。相反，如先前的草案一樣，版本1.0僅將流程描述為適用于模型中每個域的通用成熟度流程。

（2）對所有級別進行討論、說明和示例

CMMC版本1.0的附錄B包含針對該模型的所有五個級別的171個實踐和五個過程的每一個進行的詳細說明。附錄B詳細說明了：（1）實踐或過程所源自的參考；（2）對實踐或過程的討論；（3）實踐或過程的說明，至少包括一個如何在組織內證明該實踐的示例。版本0.7僅針對與級別1-3相關的實踐提供了這些描述。現在，版本1.0包含了模型所有級別上的實踐和流程的詳細說明。

（3）源映射

版本1.0的附錄E是一個新的“源映射”資源，它提供了來自其他網絡安全參考和框架的相關實踐的詳細列表，并顯示了這些實踐如何“映射”到CMMC模型的實踐和過程。

（4）認證期限

盡管CMMC版本1.0并未說明認證期限，但國防部國防采購部助理部長首席信息安全官兼CMMC推出過程中的關鍵角色美國國防部的Katie Arrington在發布當天的新聞發布會上表示，公司的三年認證期將是“很好的”。這表明，一旦在一定的成熟度水平上進行了審核和認證，組織將被要求保留該認證級別三年，然后才需要進行另一次審核。

三、美軍CMMC標準的特點

1.覆蓋范圍廣

CMMC框架將要求DOD供應鏈中的所有公司都必須獲得認證才能開展業務，其認證范圍涉及國防部供應鏈中的30多萬家公司，全部需要獲得認證才能與國防部開展業務。

這一要求主要是基于國防部發現，其供應鏈中最容易受到網絡安全威脅傷害的就是那些初創公司和小型公司，下層供應商比主承包商更容易被網絡攻擊對手瞄準。

2.標準統一

CMMC標準整合了現有標準體系，將要保護的信息數據類型和敏感性以及相關的威脅范圍相結合，形成來自多個網絡安全標準、框架和其他參考的成熟流程和網絡安全最佳實踐。其參考整合的各類網絡安全標準有：NIST SP 800-171；NIST SP 800-171B；NIST SP 800-53；NIST CSF V1.1；CERT RMM V1.2；CIS Controls；ISO 270001和ISO 27032；；AIA NAS9933，以及其他成熟的網絡安全最佳實踐體系（比如，UK NCSC、AU ACSC、FAR等）。

但與NIST SP 800-171之類的安全標準體系不同，除了網絡安全控制標準外，CMMC將更廣泛地“衡量一家公司網絡安全實踐和安全運營過程制度化的成熟度”。CMMC將實現多個級別的網絡安全。除了評估公司實施網絡安全控制措施的成熟度外，CMMC還將評估公司網絡安全實踐和流程的成熟度/制度化水平。

3.強制執行

CMMC規定，美國國防部合同將強制投標人達到一定的認證水平，以贏得特定的工作。例如，如果企業不競標包含極為敏感信息的合同，則它們必須僅獲得第一級認證，這涉及基本的網絡安全性，例如更改密碼和運行防病毒軟件；更敏感的程序將需要更嚴格的控制。

從2020年9月份的10個試點性招標書開始，越來越多的招標書將指定競標者在授標時必須達到的CMMC等級。理論上，企業今后可以在不遵守規定的情況下競標，但必須在選擇勝出者之前獲得認證，否則將失去資格。未經認證的企業無法獲得合同。五角大樓官員無權給予任何企業網絡安全認證的通行證。到2026財年，所有的美國防部合同都必須包含網絡安全成熟度認證等級要求。

4.第三方認證

在CMMC認證方案中，最大的變化是，企業不能再“自行認證”達到某種標準，而要由五角大樓授權第三方根據嚴格的利益沖突規則評估每家企業。它建立了一個認證委員會和評估員，董事會是獨立于國防部的外部實體，負責批準評估員對過程中的公司進行認證。這將被稱為認證第三方評估組織（C3PAO）。

同時，一個由來自國防行業、網絡安全界和學術界的13名成員組成的CMMC認證機構將負責監督C3PAOs的培訓工作、質量和管理能力。此外，國防部和CMMC認證機構之間將簽署備忘錄，明確雙方角色、職責和規則，以規避認證過程中的利益沖突。國防部還表示，CMMC將為企業投標創造公平的競爭環境，只有達到要求的企業才能參與競標。

四.結語

CMMC版本1.0的發布是國防部的一個重要里程碑，2021年CMMC還將會有更多的進展。隨著國防部發布有關其新的分階段實施計劃的詳細信息，我們將繼續跟蹤CMMC的部署。

當然，美國防部在目前緩慢推進CMMC計劃的過程中，也面臨著來自各方的質疑之聲。4月初，有外媒報道，美國BSA互聯網協會（該協會代表了包括美國軟件聯盟、網絡安全聯盟等100多家公司）致信五角大樓指出，目前實施的CMMC計劃在關鍵領域缺乏足夠的清晰度和可預測性經驗，可能會造成不必要的制度混亂和額外開銷，如果不對該問題加以解決，這些問題可能導致網絡安全性降低；可能會限制行業科技競爭并減少政府使用新技術的機會；CMMC中的某些控件其實比較適用于傳統模型，但不一定適用于現代大規模的基礎架構，嚴格遵守這些控制措施實際上可能會為高安全性和高可用性的控制措施帶來新的風險，等等。

未來，美國防部將考慮并結合IT行業的反饋意見，確保國防部優化實施結構的合理性，優化CMMC的有效性，為2026年全面實施CMMC做好充分的準備。